Этапы жизненного цикла ключа
|
ЦУС |
|
|
1.Политика формирования ключей |
|
|
|
|
|
|
|
|
|
|
|
||
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
ЦРК |
|
|
|
|
|
|
|
2. Генерирование случайных последовательностей |
|
|
||||||
|
|
|
|
|
|
|||
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
3. Формирование ключевых данных |
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
4. Доставка ключевых данных на узлы |
|
Распределение |
||
|
|
|
|
|
|
ключей |
||
|
|
|
|
|
||||
|
|
|
|
|
|
|
|
|
Коррес- |
|
|
5. Формирование сеансового ключа из |
|
|
|
|
|
понденты |
|
|
ключевых данных |
|
|
|
|
|
|
|
|
|
|
|
|
||
|
|
|
|
|
|
|||
|
|
|
|
6. Применение сеансового ключа в криптоалгоритме |
|
|||
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
7.Уничтожение ключа |
|
|
|
|
|
|
|
|
|
|
|
|
|
Способы распределения ключей
1.Способ с использованием ЦРК и доверенных каналов доставки ключа на начальном этапе;
2.Способ с использованием ЦРК в интерактивном режиме.
3.Способ на основе взаимного обмена данными между корреспондентами (без использования ЦРК).
4.Распределение ключей с помощью квантового криптографического канала.
5.Распределение ключей с помощью открытых каналов связи с шумом.
Определения
•Ключевое отношение – отношение между двумя корреспондентами сети связи, при котором взаимодействующие стороны имеют ключевые данные достаточные для выполнения криптографического протокола. В этом случае корреспонденты оказываются
криптографически связанными (криптосвязанными).
•Ключевая структура – совокупность ключевых отношений, определяющих структуру ключевого материала (ключевых данных), распределяемого в сети и обеспечивающего криптографическую связность корреспондентов сети.
•Компрометация ключей – происшествие (захват, хищение, разглашение и др.), при котором ключ или ключевые данные становятся известными злоумышленнику.
•Криптоживучесть – устойчивость ключевой структуры при компрометации ключей (ключевых данных) у отдельных корреспондентов.
Способ с использованием ЦРК и доверенных каналов доставки ключа на начальном этапе (способ предварительного распределения ключей)
1 2
i
М
j ЦРК
Очевидно, что при данном способе распределения каналы доставки ключей имеют не высокую пропускную способность, поэтому формируемая в ЦРК ключевая структура должна удовлетворять следующим требованиям:
-малый объем ключевых данных (ключевого материала), доставляемых корреспонденту;
-малый объем ключевых данных, хранимых у корреспондента;
-устойчивость ключевой структуры при компрометациях ключей в отдельных узлах сети.
Анализ ключевых структур
Параметры, характеризующие ключевую структуру
•Время, необходимое для доставки ключевого материала (ключей)
•Объем доставляемой ключевой информации в сети
•Объем памяти, необходимый для хранения ключевой информации
1 |
2 |
|
i |
||
|
М
j
• Устойчивость ключевой структуры |
ЦРК |
к компрометациям. |
|
|
Виды ключевых структур
|
Тип ключевой |
Объем КИ |
Объем КИ |
Устойчивость |
|
структуры |
на 1 узел |
в сети |
|
1. |
Единый ключ |
n |
nM |
Низкая |
2. |
Сетевой набор |
n(M-1) |
nM(M-1) |
Высокая |
3. |
Базовый набор |
nL (L<<M) |
nLM |
Требуемая (t) |
1.4.2. Принцип построения и характеристики
ключевой структуры Базовый набор
Распределение ключей осуществляется в три этапа. Первый этап выполняется в ЦРК.
1. ЦРК генерирует открытые адреса (коды) пользователей:
Pi = (Pi1, Pi2 , ... , PiL ), 1 i М , |
(1.1) |
где Pij GF 2n0 , 1≤i≤M, 1≤j≤L;n0 – длина ключа, необходимая |
для |
использования в определенном криптоалгоритме (в битах);L –целое число, как правилоL<<M, определяющее стойкость системы к компрометациям, величина которого будет определена в дальнейшем.
Особенностью адресов Pi является то обстоятельство, что их можно
открыто передавать по каналам связи и хранить в несекретных справочниках без ущерба для безопасности связи.
2. ЦРК генерирует случайную секретную квадратную L×L матрицу
T t |
ms |
, где t |
ms |
GF |
|
2n0 |
|
,1≤m,s≤L. |
|
|
|
|
|
|
|
||||
По случайной матрице T, ЦРК формирует базовые наборы ключей |
|||||||||
корреспондентов: |
|
|
|
|
|
||||
|
|
|
|
|
|
|
|
Si = T Pi , 1 i M , |
(1.2) |
где символ (′)– знак транспонирования вектор-строки – адреса пользователя
На втором этапе происходит следующее:
1) ЦРК рассылает отрытым образом пользователям или публикует в
виде файла-справочника их адреса Pi , 1≤i ≤ М (при этом должна быть
исключена возможность подмены адресов злоумышленником); 2) ЦРК рассылает по доверенным каналам (без возможности перехвата
злоумышленником) базовые наборы ключей Si , 1≤i ≤ М всем
корреспондентам (каждому только один соответствующий ключ);
3) ЦРК может уничтожить исходную случайную матрицу T, чтобы исключить последующую угрозу ее компрометации или хранить защищенным образом для того, чтобы иметь возможность расширять систему снабжения ключами при появлении новых пользователей.
Третий этап происходит между двумя корреспондентами без участия
ЦРК. Рассмотрим порядок формирования парного (сеансового) ключа между i-ым и j-ым корреспондентами.
i-й корреспондент:
- находит (или извлекает из памяти) открытый адрес j-го корреспондента Pj ;
- формирует парный ключ для работы с j-м корреспондентом,
используя свой базовый набор Si . |
|
i : Kij = Pj Si . |
(1.3) |
j-й корреспондент:
-находит (или извлекает из памяти) открытый адрес i-го
корреспондента Pi ;
- формирует парный ключ с i-м корреспондентом, используя свой
базовый набор S j . |
|
i : Kji = Pi Sj . |
(1.4) |
Теорема 1.3. Для того чтобы выполнялось равенство парных ключей
от i-го пользователя j-му |
и наоборот, т. е.Kij = Kji для Kij и Kji, |
определяемых уравнениями |
(1.3) и (1.4), при любых возможных наборах |
адресов Pi и Pj , определяемых по (1.1), достаточно, чтобы матрица T была бы симметричной, т.е. выполнялось условие:
tsk tks , 1 s, |
k L . |
|
(1.5) |
|
Доказательство. Из соотношений (1.2) и (1.3) получаем: |
|
|||
L |
L |
L L |
|
|
Kij = Pjs tsk Pik = Pjstsk Pik |
|
|
||
s 1 |
k =1 |
s 1 k =1 |
. |
(1.6) |
L |
L |
L L |
||
K ji = Pis tsk Pjk = Pistsk Pjk |
|
|
||
s 1 |
k =1 |
s 1 k =1 |
|
|
Если во втором уравнении сделать замену индексов s k и учесть, что матрица T симметричная, т.е. tsk=tks, то тогда Kij = Kji.
Таким образом, ЦРК может вырабатывать матрицу T как полностью случайную матрицу выше главной диагонали, и тогда из представления для парного ключа:
L |
L |
L L |
L |
L |
Kij = Pjs tsk Pik = Pjstsk Pik trr Pjr Pir + tsk (Pjs Pik +Pjk Pis ).(1.7) |
||||
s 1 |
k =1 |
s 1 k =1 |
r =1 |
s<k |
Видно, что все значения ключей Kij GF 2n0 окажутся равновероятными.
Оценка стойкости
Рассмотрим стойкость данной ключевой структуры к компрометациям
ключей у корреспондентов. Возможна компрометация, как базовых наборов, так и компрометация парных ключей. Оба вида компрометации являются связанными.
Теорема 1.5. Ключевая структура Базовый набор устойчива к
компрометации L – 1 базовых наборов тогда и только тогда, когда
множество адресов { Pi } обладает тем свойством, что любая система из L
векторов этого множества линейно независима.
Доказательство. Открытые адреса корреспондентов представляют собой L-мерные векторы над полем GF(2n). Из свойства линейной независимости над полем GF 2n0 , следует, что для любого набора из L векторов выполняется условие
1Pi |
2 Pi |
... L Pi |
0 |
(1.8) |
1 |
2 |
L |
|
|
тогда и только тогда, когда λ1 =λ2 =... =λL = 0 .